Moves, Facebook et trackers d’activités : où vont vos données ?

Le rachat de Moves par Facebook, et les modifications des conditions générales d’utilisation qui s’en sont suivies soulèvent forcément des interrogations sur l’utilisation des données personnelles liées aux trackers d’activités.

Moves dévoile son côté obscur

Il y a quelque temps, on apprenait via le site officiel de Move, que Facebook avait acquis la société ProtoGeo qui édite cette application fitness. Cet achat n’a pas fait grand bruit mais s’inscrit pourtant dans la politique simple du réseau social : « toucher à tout ». Un exemple illustré en plusieurs années avec les acquisitions successives de Instagram, WhatsApp ou encore Oculus VR.

Finalement, Mark Zuckerberg est un peu le Cell de l’Internet, ayant besoin d’absorber les autres pour continuer à se développer. Une aubaine pour ses firmes dont les employés sont bien souvent intégrés aux équipes de Facebook et dont les patrons et investisseurs s’en mettent plein les poches. Moves s’était même fendu d’un délicat message sur son site : « Aujourd’hui, nous sommes ravis d’annoncer que Facebook a racheté notre compagnie et l’application Moves. Depuis son lancement, nous étions concentrés sur le fait de faire fonctionner un simple journal d’activité de façon simple et propre, que des millions d’individus ont aimé utiliser ».

C’est pour les utilisateurs que le bilan n’est pas aussi reluisant. Le site d’actualité 01Net s’est amusé à comparer les conditions d’utilisation avant et après acquisition. Et le moins que l’on puisse dire, c’est que le changement est radical. Quand Moves disait : « Nous ne divulguons par d’information utilisateur à de tierces parties à moins que vous nous donniez votre consentement explicite pour chaque divulgation, ou que nous soyons obligés légalement de le faire, ou que notre activité ou nos actifs, ou une partie d’entre eux, soient acquis par un tiers. […] » ; Facebook dit : « Pour fournir et soutenir les services que nous vous fournissons, les informations que nous collectons et que nous recevons peuvent être divulguées à des tiers […] ». Mieux encore, on lit des choses qui nous font rire jaune, puisque Moves se réserve le droit de « partager des informations, y compris des informations qui vous permettent de vous identifier personnellement, avec nos associés et filiales (des entreprises qui font partie de notre groupe d’entreprises, ce qui inclut mais n’est pas limité à Facebook) pour aider à fournir, comprendre et améliorer nos services. ». 

Un changement de politique radical, et qui se fait en plus sans que l’utilisateur ait besoin de valider de nouvelles conditions d’utilisation. Continuer d’utiliser, c’est donc acquiescer.

Les données des trackers d’activités

Dans le domaine des trackers d’activités, les données sur les utilisateurs sont un peu mystérieuses. Pourtant, ces bracelets connaissent parfois des informations sur vous encore plus « intimes » que vos smartphones et vos photos dénudées sur Snapchat. Une application comme Moves connait vos lieux préférés, vos parcours journaliers pour vous rendre au travail, votre lieu et temps de sommeil, etc… Bref, autant d’indications pouvant être détournées (sans être trop complotiste) : admettons qu’un magasin en particulier se trouve sur votre trajet ou aux alentours, que ce magasin achète des données de trackers d’activités, et qu’il vous envoie de la publicité pour les produits qu’il y vend afin de vous inciter à faire un détour. On n’oserait même pas ce rapprochement, mais pourtant il a été fait par les rois de ce type de business.

On a déjà eu affaire à de telles conditions d’utilisations avec le SmartBand de Sony que nous avons testé, et où l’on vous invitait à les lire attentivement. Le paragraphe 4.2 mentionnait notamment que vos données peuvent être utilisées par des entreprises tierces, sans qu’on sache réellement de quoi il s’agit.

En plus de cela, les données personnelles naviguent sur certains trackers d’activités via le cloud. Elles peuvent y être enregistrées, et ce moyen de stockage dématérialisé reste assez flou sur la question de « qui y a accès ». Les marques stockent en général ces données sur leurs serveurs, justifiant ceci par la facilité de récupération lors d’un changement de terminal. C’est en partie vrai, mais on a pu se rendre compte lors de piratages avec récupération de base de données (cf : affaire Snapchat), que des données telles que la géolocalisation deviennent potentiellement accessibles. Comme pour Moves…

Faut-il s’en inquiéter pour autant ?

Oui et non. Et cela dépend des données transmises, et des trackers d’activités. Un bracelet comme le Misfit Shine, que nous avons testé, ne se sert même pas du GPS pour calculer nos pas mais d’un accéléromètre (qui varie d’ailleurs selon notre activité, et vous fera faire 1000 pas si vous faites votre shampoing avec l’appareil au poignet).

Par contre, des trackers (qu’ils soient bracelets, montres, ou inclus dans le smartphones) et qui se basent sur des outils tels que le GPS sont plus « douteux ». Libre alors à l’utilisateur de consulter les conditions générales d’utilisation (à quand les CGU disponibles avant l’achat ?) avant de l’utiliser. C’est finalement presque le même principe que pour les applications qui recueillent de nombreuses permissions. En avoir connaissance n’évite pas les mauvaises surprises, mais permet au moins de les limiter.